Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connectez-vous à SageMaker Within à votre VPC
Vous pouvez vous connecter directement à l' SageMaker API ou à Amazon SageMaker Runtime via un point de terminaison d'interface dans votre cloud privé virtuel (VPC) au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC et l' SageMakerAPI ou le Runtime s'effectue de manière entièrement et sécurisée au sein d'un réseau. AWS
Connectez-vous SageMaker via un point de terminaison d'interface VPC
L' SageMaker API et le SageMaker Runtime prennent en charge les points de terminaison de l'interface Amazon Virtual Private Cloud (Amazon VPC) alimentés par. AWS PrivateLink
![Un VPC communique avec un AWS PrivateLink point de terminaison. SageMaker](images/security-vpc-SM.png)
Le point de terminaison de l'interface VPC connecte votre VPC directement à l' SageMaker API ou au SageMaker Runtime AWS PrivateLink sans utiliser de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion. AWS Direct Connect Les instances de votre VPC n'ont pas besoin de se connecter à l'Internet public pour communiquer avec l' SageMaker API ou SageMaker le Runtime.
Vous pouvez créer un point de terminaison d' AWS PrivateLink interface pour vous connecter à SageMaker ou à SageMaker Runtime en utilisant le AWS Management Console ou AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez la section Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface.
Si vous n'avez pas activé de nom d'hôte DNS (Domain Name System) privé pour votre point de terminaison VPC, après avoir créé un point de terminaison VPC, spécifiez l'URL du point de terminaison Internet vers SageMaker l'API ou le Runtime. SageMaker Voici un exemple de code utilisant des AWS CLI commandes pour spécifier le endpoint-url
paramètre.
aws sagemaker list-notebook-instances --endpoint-url
VPC_Endpoint_ID
.api.sagemaker.Region
.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api
.sagemaker.Region
.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID
.runtime.sagemaker.Region
.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name
\ --body "Endpoint_Body
" \ --content-type "Content_Type
" \Output_File
Si vous activez les noms d'hôte DNS privés pour votre point de terminaison de VPC, vous n'avez pas besoin de spécifier l'URL du point de terminaison, car le nom d'hôte par défaut (https://api.sagemaker.Region
.amazon.com) se résout par votre point de terminaison de VPC. De même, le nom d'hôte SageMaker Runtime DNS par défaut (https://runtime.sagemaker. Region
.amazonaws.com) correspond également à votre point de terminaison VPC.
L' SageMaker API et le SageMaker Runtime prennent en charge les points de terminaison VPC partout où Amazon VPC Régions AWS et Amazon sont disponibles. SageMaker SageMaker permet de passer des appels à tous ses éléments au Operations
sein de votre VPC. Si vous utilisez le AuthorizedUrl
CreatePresignedNotebookInstanceUrlcommande, votre trafic passera par l'Internet public. Vous ne pouvez pas uniquement utiliser un point de terminaison VPC pour accéder à l'URL présignée, la demande doit également passer par la passerelle Internet.
Par défaut, vos utilisateurs peuvent partager l'URL présignée avec des personnes extérieures à votre réseau d'entreprise. Pour plus de sécurité, vous devez ajouter des autorisations IAM afin de limiter l'utilisation de l'URL uniquement au sein de votre réseau. Pour plus d'informations sur les autorisations IAM, consultez la section AWS PrivateLink Fonctionnement avec IAM.
Note
Lors de la configuration d'un point de terminaison d'interface VPC pour le service SageMaker Runtime (https://runtime.sagemaker.
.amazonaws.com), vous devez vous assurer que le point de terminaison de l'interface VPC est activé dans la zone de disponibilité de votre client pour que la résolution DNS privée fonctionne. Dans le cas contraire, vous risquez de rencontrer des défaillances DNS lorsque vous tentez de résoudre l'URL.Region
Pour en savoir plus AWS PrivateLink, consultez la AWS PrivateLink documentation. Consultez Tarification d'AWS PrivateLink
Utilisation de SageMaker la formation et de l'hébergement avec les ressources de votre VPC
SageMaker utilise votre rôle d'exécution pour télécharger et charger des informations depuis un bucket Amazon S3 et Amazon Elastic Container Registry (Amazon ECR), indépendamment de votre conteneur d'entraînement ou d'inférence. Si vous avez des ressources situées dans votre VPC, vous pouvez toujours accorder l' SageMaker accès à ces ressources. Les sections suivantes expliquent comment mettre vos ressources à disposition SageMaker avec ou sans isolation du réseau.
Sans l'isolement réseau activé
Si vous n'avez pas défini l'isolation du réseau pour votre tâche ou votre modèle de formation, SageMaker vous pouvez accéder aux ressources en utilisant l'une des méthodes suivantes.
-
SageMaker les conteneurs d'inférence déployés et de formation peuvent accéder à Internet par défaut. SageMaker les conteneurs peuvent accéder à des services et ressources externes sur l'Internet public dans le cadre de vos charges de travail de formation et d'inférence. SageMaker les conteneurs ne peuvent pas accéder aux ressources de votre VPC sans configuration VPC, comme le montre l'illustration suivante.
-
Utilisez une configuration de VPC pour communiquer avec les ressources situées dans votre VPC via une interface réseau Elastic (ENI). La communication entre le conteneur et les ressources de votre VPC s'effectue de manière sécurisée au sein de votre réseau VPC, comme le montre l'illustration suivante. Dans ce cas, vous gérez l'accès réseau à vos ressources de VPC et à Internet.
Avec l'isolement réseau
Si vous utilisez l'isolation réseau, le SageMaker conteneur ne peut pas communiquer avec les ressources de votre VPC ni effectuer d'appels réseau, comme le montre l'illustration suivante. Si vous fournissez une configuration de VPC, les opérations de téléchargement et de chargement seront exécutées via votre VPC. Pour plus d'informations sur l'hébergement et l'entraînement avec l'isolement réseau lors de l'utilisation d'un VPC, consultez Isolement du réseau.
![SageMaker peut accéder aux ressources de votre VPC et communiquer avec celles-ci grâce à une configuration VPC.](images/security-network-isolation-no-config.png)
Créez une politique de point de terminaison VPC pour SageMaker
Vous pouvez créer une politique pour les points de terminaison Amazon VPC SageMaker afin de spécifier les éléments suivants :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, veuillez consulter Contrôle de l’accès aux services avec des points de terminaison d’un VPC dans le Amazon VPC Guide de l’utilisateur.
Note
Les politiques de point de terminaison VPC ne sont pas prises en charge pour les points de terminaison d' SageMaker exécution FIPS (Federal Information Processing Standard) pour. runtime_InvokeEndpoint
L'exemple de politique de point de terminaison VPC suivant indique que tous les utilisateurs ayant accès au point de terminaison de l'interface VPC sont autorisés à appeler le SageMaker point de terminaison hébergé nommé. myEndpoint
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
Dans cet exemple, les éléments suivants sont refusés :
-
Autres actions d' SageMaker API, telles que
sagemaker:CreateEndpoint
etsagemaker:CreateTrainingJob
. -
Invoquer des points de terminaison SageMaker hébergés autres que.
myEndpoint
Note
Dans cet exemple, les utilisateurs peuvent toujours effectuer d'autres actions d' SageMaker API en dehors du VPC. Pour obtenir des informations sur la façon de restreindre les appels d'API à ceux situés dans le VPC, veuillez consulter Contrôlez l'accès à l' SageMaker API à l'aide de politiques basées sur l'identité.
Création d'une politique de point de terminaison VPC pour Amazon Feature Store SageMaker
Pour créer un point de terminaison VPC pour Amazon SageMaker Feature Store, utilisez le modèle de point de terminaison suivant, en remplaçant votre
VPC_Endpoint_ID.API
et votre région :
VPC_Endpoint_ID.api
.featurestore-runtime.sagemaker.Region
.vpce.amazonaws.com
Connectez votre réseau privé à votre VPC
Pour appeler l' SageMaker API et le SageMaker Runtime via votre VPC, vous devez vous connecter à partir d'une instance située à l'intérieur du VPC ou connecter votre réseau privé à votre VPC à l'aide d'un () ou. AWS Virtual Private Network AWS VPN AWS Direct Connect Pour en savoir plus AWS VPN, consultez la section Connexions VPN dans le guide de l'utilisateur d'Amazon Virtual Private Cloud. Pour plus d'informations AWS Direct Connect, voir Création d'une connexion dans le guide de l'utilisateur de AWS Direct Connect.